Проблема доступа: можно ли жить и работать без паролей

Многочисленные пароли для доступа ко всевозможным IT-сервисам и приложениям сложно запоминать, хранить, защищать. При этом скомпрометировать пароль или забыть его — проще простого. Сегодня эксперты в сфере информационной безопасности говорят о будущем без паролей: они перестанут быть основным фактором аутентификации пользователей

Каждый может представить, как неприятно потерять доступ к личной почте или социальной сети, если пароль от них каким-то образом получат интернет-мошенники. Еще неприятнее — остаться без денег из-за скомпрометированного PIN-кода банковской карты. Но что будет, если злоумышленник получит доступ к корпоративной базе данных или жизненно-важным системам предприятия? Сегодня пароли являются основным фактором аутентификации пользователей, но это далеко не самый современный и безопасный способ проверки.

Консультант по информационной безопасности Duo Security (входит в структуру крупнейшего в мире вендора в области информационной безопасности компании Cisco) Вольфганг Герлих, рассуждая в своем блоге о будущем, выражает надежду, что оно будет беспарольным.

«Я не варю мыло. Я не ощипываю кур. И я больше не придумываю пароли. Сегодня большинство моих паролей генерируются случайным образом. Если честно, то я жду не дождусь, когда и случайные пароли окажутся там же, где и домашнее мыло, акустические модемы и ЭЛТ-мониторы», — пишет он.

Резко отказаться от использования паролей в компании невозможно — для начала необходимо снизить их количество. Локально — можно установить менеджер паролей. Централизованно — систему единой регистрации (single sign-on, SSO). Суть в том, чтобы определить используемые процессы аутентификации и затем начать уменьшать сложность, указывает эксперт. Когда учетные данные регулярно собираются и систематизируются, вырисовывается более понятная картина. Задача не так проста, как может показаться. Согласно отчету 2017 года, на одного сотрудника предприятия в среднем приходится 191 пароль. Чтобы их упорядочить, оценить и консолидировать, нужно время.

Составив общую картину, проще перейти к следующему шагу: устранению пароля как основного способа аутентификации. Например, войти в систему ПК сегодня можно с помощью биометрических данных, используя технологии Secure Enclave и Trusted Platform Module (TPM) для приложений Touch ID или Windows Hello. Для веб-приложений существует аутентификация на основе спецификации FIDO2, в которой используются стандарты WebAuthn (Web Authentication) и CTAP (Client-to-Authenticator Protocol).

Вольфганг Герлих прогнозирует, что в перспективе беспарольный доступ будет реализован для всех корпоративных сценариев: гибридных, облачных, локальных, а также для унаследованных приложений. Для компаний это — путь к повышению информационной безопасности. Для системных администраторов — заметное облегчение. Ну а для пользователей жизнь без паролей означает ускоренную аутентификацию с минимальными издержками. Что касается злоумышленников — им станет несколько сложнее. В предлагаемых технологиях нет некоего общего алгоритма взлома, нельзя «подобрать» отпечаток пальца или скопировать лицо.

Но так ли необходимо отказываться от паролей? По мнению эксперта компании Duo Security внедрение беспарольных технологий — это тактический ход для поддержки инициатив по укреплению информационной безопасности, основанный на упрощении действий пользователей.

«Попробуйте найти поддержку своему проекту, предоставив беспарольный доступ ключевым фигурам и адептам информационной безопасности. Рассмотрите предоставление беспарольного доступа рабочим группам, в которых требуется большое число аутентификаций или смены паролей — это сэкономит время и затраты на техподдержку. И, конечно, хорошим вариантом для продвижения будет демонстрация минимума необходимых усилий, как, например, внедрение приложений, которые уже поддерживают FIDO2», — рекомендует Вольфганг Герлих.

Нельзя сказать, что внедрение беспарольной аутентификации возможно везде и совершенно без проблем. Одним из препятствий может стать непонимание сотрудников или нежелание персонала пользоваться биометрией. Несовершенство технологий, которые призваны упрощать доступ, но на самом деле его усложняют — тоже сдерживающий фактор. Если биометрическая система работает плохо и не позволяет запустить ПК с первого, второго, третьего раза — человек начинает ненавидеть такую систему. Те же затруднения могут возникнуть с регистрацией отпечатков пальцев.

Еще один «подводный камень» скрывается там, где совместное использование оборудования является нормой. Многие беспарольные решения сегодня привязывают сотрудника к его устройству для строгой аутентификации. Эта модель не может работать, когда одним устройством пользуются несколько человек.

Также важный момент, о котором нужно помнить при выборе вариантов перехода к беспарольности, — соответствие требованиям законодательства. Во многих случаях — например, для доступа к банковским приложениям — для аутентификации требуется наличие пароля и еще одного или нескольких дополнительных факторов.

Однако несмотря на перечисленные препятствия, задуматься о внедрении беспарольных технологий стоит уже сейчас. Обеспечение беспарольности для Duo Security и Cisco — дело не одного дня и даже года. Оно подразумевает постепенный переход от парольной аутентификации к использованию других методов. Целью при этом становится повышение защищенности корпоративных систем при упрощении процесса доступа для сотрудников.